linux bcc tool 分析

原创 于 2025-07-21 15:45:05 发布 · 640 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

Linux bcc tool

Linux BCC(BPF Compiler Collection)是一个强大的 eBPF 工具集,用于内核动态追踪和性能分析。它构建在 eBPF(Extended Berkeley Packet Filter)技术之上,简化了开发复杂内核观察程序的过程。下面我们从 整体架构、工作流程、关键组件、原理细节 四个方面分析 BCC 的工作原理。

整体架构

BCC 是一个用户空间的框架,帮助你编写、加载和操作 eBPF 程序。它的结构如下:

         +------------------+
         |  Python / C++ API|    ← 用户写脚本
         +------------------++------------------+
         | BCC Frontend     |    ← 将 C 代码嵌入 Python
         +------------------++------------------+
         | LLVM/Clang       |    ← 将嵌入的 C 编译成 BPF 字节码
         +------------------++------------------+
         | Kernel BPF VM    |    ← 加载到内核,通过 bpf() syscall 执行
         +------------------+

工作流程

    1. 用户脚本
    • 用户使用 Python 或 C++ API 编写分析程序(如 execsnoop, tcpconnect 等)。
    • eBPF 程序以字符串形式嵌入在脚本中,通常是一个小型的 C 程序。
    1. BCC 编译器前端
    • BCC 提取 eBPF C 程序,将其传递给 LLVM 的 Clang 编译器。
    • Clang 目标是 BPF target(-target bpf),生成 BPF 字节码(ELF 格式)。
    1. 内核加载
    • BCC 使用 bpf() 系统调用将字节码加载到内核。
    • 在加载时,内核 verifier 会检查程序安全性(禁止死循环、非法内存访问等)。
    • 成功后,程序绑定到内核钩子,如 kprobe、tracepoint、socket filter、XDP 等。
    1. 数据采集与回传
    • eBPF 程序通过 map 将数据传回用户空间。
    • 用户空间脚本读取 map 中数据并输出,如打印事件或生成性能图表。

核心组件分析

    1. eBPF 程序(内核执行)
    • 使用受限的 C 编写,不能使用浮点、不支持循环(老版本),仅支持固定调用集。
    • 加载时由 BPF verifier 做安全校验。
    • 执行位置包括:
      • kprobe / kretprobe:函数进入和返回
      • tracepoint:内核事件点
      • uprobe / uretprobe:用户空间函数进入/返回
      • XDP:数据包入站处理
      • tc:流量控制 hook
      • perf_event:周期性或采样 hook
    1. map(eBPF 与用户空间通信桥梁)
    • 类似共享内存结构,内核和用户空间通过它读写数据。
    • 类型包括:
      • Hash
      • Array
      • Perf Event Array(高效事件传输)
      • Stack Trace
      • Ring Buffer(新式高性能通信)
    1. Clang / LLVM
    • BCC 调用 clang 将 C 程序编译为 eBPF 字节码(使用 BPF backend)。
    • 要求代码为 eBPF 限定子集:不能递归、栈限制、结构体必须固定大小等。
    1. Python / C++ 前端 API
    • 包装 bpf() syscall
    • 提供易用接口,如 BPF.attach_kprobe()BPF.trace_print()
    • 实时收集 perf 事件和 map 数据

BCC 与内核交互机制原理

    1. 加载 BPF 程序
    • 使用 bpf(BPF_PROG_LOAD, ...) 系统调用
    • 指定类型、入口函数、依赖 map 等
    • 内核 verifier 校验字节码合法性(控制流图、访问边界)
    1. 绑定事件 hook
    • 如:
      b.attach_kprobe(event="do_sys_open", fn_name="trace_entry")
      插入 kprobe 到 do_sys_open,绑定 eBPF 函数 trace_entry
    1. 用户态读取数据
    • 通过 maplookup, read, poll 等接口读取数据
    • Perf Events 或 ring buffer 用于事件通知机制

例子

from bcc import BPF

bpf_text = """
int trace_sys_clone(void *ctx) {
    bpf_trace_printk("clone called\\n");
    return 0;
}
"""

b = BPF(text=bpf_text)
b.attach_kprobe(event="__x64_sys_clone", fn_name="trace_sys_clone")
b.trace_print()

执行逻辑:

  • bpf_text 是 eBPF C 程序。
  • 被 Clang 编译为字节码。
  • b.attach_kprobe() 加载字节码并附加到内核的 __x64_sys_clone。
  • 每当 clone() 被调用,内核执行 BPF 程序并通过 bpf_trace_printk() 输出消息。
  • 用户态 b.trace_print() 监听并打印日志。

BCC 与其它 eBPF 工具的比较

特性BCClibbpf + BPF CO-REbpftrace
语言Python / C++C类似 AWK 脚本
依赖LLVM、Python无 Python 依赖LLVM
编译时依赖内核头可选择 CO-RE 方式
易用性最高
可移植性

BCC 原理优势与局限

优势:

  • 编写复杂逻辑更容易(用 C)
  • 用户态 Python 接口开发效率高
  • 生态成熟、文档齐全

局限:

  • 运行时需要 LLVM、Python 环境
  • 对内核版本依赖性强(CO-RE 支持较弱)
  • 较重,不适合生产嵌入式场景

总结

BCC 本质是:

将 eBPF 技术封装为可编程接口,使用户能方便地观察、分析、调试内核或用户程序行为。

它的核心是:

  • 使用受限 C 编写内核动态 hook
  • 用 LLVM 编译 BPF 字节码
  • 借助内核 BPF VM 执行代码
  • 使用 map 进行数据交换
Linux: eBPF: bcc-tools:tcpdrop使用需要注意的问题
mzhan017的博客
12-27 1331
最近使用bcc-tools的时候注意到,bcc-tools(eBPF相关软件)的使用版本和内核的版本紧密程度非常高。修改为了tcp_drop_reason;在drop的同时带有drop的原因,方便debug问题。tcpdrop脚本的例子;tcp_drop函数被。
包会!在Linux上用bcc运行第一个eBPF程序
LifeIsGood
05-29 211
包会!在Linux上用bcc运行第一个eBPF程序
LinuxBCC 工具编写
Linoy
04-09 1745
LinuxBCC 工具编写 本实验参照该实验手册:linux-tracing-workshop 一、 setuidsnoop 查看 killsnoop.py, 这是一个简单的基于kprobe的工具,可将kprobe和kretprobe附加到该sys_kill函数. 在Enter探针中,记录了有关终止信号和目标进程的数据,在Return探针中,记录了操作结果,并将自定义结构提交给用户空间以进行显...
bccBCC-用于基于BPFLinux IO分析,联网,监视等工具
02-07
BPF编译器集合(BCCBCC是用于创建有效的内核跟踪和操作程序的工具包,其中包括一些有用的工具和示例。 它利用扩展的BPF(伯克利数据包过滤器),正式称为eBPF,这是Linux 3.15首次添加的新功能。 BCC使用的大多数工具都需要Linux 4.1及更高版本。 eBPF被IngoMolnár为: 此循环中更有趣的功能之一是能够将eBPF程序(由内核执行的用户定义的沙盒字节码)附加到kprobes。 这样就可以在实时内核映像上进行用户定义的检测,而该映像永远不会崩溃,挂起或对内核产生负面影响。 BCC借助C中的内核工具(包括围绕LLVM的C包装器)以及Python和lua的前端,使BPF程序更易于编写。 它适用于许多任务,包括性能分析和网络流量控制。 屏幕截图 本示例跟踪磁盘I / O内核功能,并填充I / O大小的内核内2幂幂直方图。 为了提高效率,仅将直方图摘要返回到
LinuxBCC 性能工具的移植和使用
z20230508的博客
06-11 1834
BCC(BPF Compiler Collection)是一个用于创建高效的内核跟踪和操作程序的工具包,包含了几个有用的工具和示例。它利用了扩展的BPF(Berkeley Packet Filters),即eBPF,这是一个最早添加到Linux 3.15的新特性。大部分BCC所使用的功能要求Linux 4.1及以上版本。eBPF被Ingo Molnár描述为:在这个周期内更有趣的特性之一是能够将eBPF程序(用户定义的、在内核中执行的沙箱化的字节码)附加到kprobes上。
linux开源同步软件,bcc: BCC 是一个开源的 Linux 动态跟踪工具
weixin_42512494的博客
05-03 702
BPF Compiler Collection (BCC)BCC is a toolkit for creating efficient kernel tracing and manipulationprograms, and includes several useful tools and examples. It makes use ofextended BPF (Berkeley Pack...
BPF Compiler Collection(BCC)——Linux 内核监控与性能分析的利器
gitblog_00006的博客
05-10 1238
BPF Compiler Collection(BCC)——Linux 内核监控与性能分析的利器 【免费下载链接】bcc iovisor/bcc: 是基于 Linux eBPF 的新型网络分析工具,可用于 Linux 系统的性能监控、网络追踪和安全分析等领域。适合对 ...
BCC-Tool 工具使用
静虚待令,有物混成
03-01 5456
1. 概述 2. 编译安装 1). 下载地址:Releases · iovisor/bcc (github.com)https://github.com/iovisor/bcc/releases2). 文件:bcc-src-with-submodule.tar.gz 3).解压:tar xvzfbcc-src-with-submodule.tar.gz 2.1 Linux X86 2.1.1 安装编译环境 sudo apt-get -y install bison build.
linux code tool
03-31
"Linux code tool"这个标题表明我们讨论的是用于处理Linux内核代码的工具集,这可能包括源码阅读器、静态分析工具、性能监控工具等。在描述中提到"kernel code is very good",这可能是对Linux内核代码质量的赞赏,...
linux性能”工具集助力分析优化Linux
少年强,六月试锋芒。小弟踉跄学朝步,百战成钢,初登场。
03-07 1326
序 这段时间的工作全都扔在了Linux分析优化上。 认识到,没有一件事是容易的。 但还是很庆幸,brendangregg为Linux做了那么多,使得对于整体分析优化Linux有了那么多称手的“兵器”,再次感谢brendangregg和torvalds。 https://www.brendangregg.com/linuxperf.html bredangregg是Linux系统性能优化的行家,你可以通过他的主页更快的上手Linux、eBPF等等新知识。 每张工具集图谱都有适应的场景,性能监控工具帮助实时测量
linux上动态追踪技术:bcc
weixin_43868793的博客
05-17 422
参考 动态追踪技术漫谈 BCC – 用于Linux性能监视,网络和更多的动态跟踪工具 动态追踪技术漫谈 《性能之巅》学习笔记之Dtrace 安装 # 在centos上 yum install bcc.x86_64 tools 目录 ls /usr/share/bcc/tools argdist compactsnoop ext4dist javaobjnew nodegc profile runqslower tclobjnew t
python 性能优化监控工具_Linux性能优化(四)——BCC性能监控工具
weixin_35327824的博客
01-28 1925
一、BCC简介1、BCC简介BCC是一个Python库,简化了eBPF应用的开发过程,并收集了大量性能分析相关的eBPF应用。BCC为BPF开发提供了不同的前端支持,包括Python和Lua,实现了map创建、代码编译、解析、注入等操作,使开发人员只需聚焦于用C语言开发要注入的内核代码。BCC工具集大部分工具需要Linux Kernel 4.1以上版本支持,完整工具支持需要Linux Kernel...
Linux 内核 eBPF之BCC安装
m0_46380368的博客
07-04 941
版本:Ubuntu 20.04.6 LTSbcc 安装:sudo apt-get install bpfcc-tools linux-headers-$(uname -r)
BCC – Dynamic Tracing Tools for Linux Performance Monitoring
Linux阅码场
11-19 1031
BPF CompilerCollection (BCC)这个工具集包含很多用来观测内核性能的工具,全部使用eBPF,并且提供了python的外部编程能力。本文前序文章: 张亦鸣: eBPF 简史 本文转载自: https://www.tecmint.com/bcc-best-linux-performance-monitoring-tools/ 关注Linuxer,订阅源源不断的
Linux Command BCC 性能监视、网络动态跟踪工具
爱死亡机器人
07-01 1332
https://www.cnblogs.com/sky-heaven/p/12801079.html
Linux eBPF -- bcc教程,快速排查性能、故障、网络问题
LifeIsGood
06-03 137
Linux eBPF -- bcc教程,快速排查性能、故障、网络问题
BCCLinux eBPF 工具集教程
gitblog_00487的博客
08-08 908
BCCLinux eBPF 工具集教程 bcciovisor/bcc: 是基于 Linux eBPF 的新型网络分析工具,可用于 Linux 系统的性能监控、网络追踪和安全分析等领域。适合对项目地址:https://gitcode.com/gh_mirrors/bc/bcc 1. 项目介绍 BCC 是一个用于创建高效内核追踪和操作程序的工具包,它包括多个有用工具和示例。BCC 利用了扩展 Be...
Linux Bpf+Bcc (目录)
pwl999的博客
10-16 2132
1、内核态解析: 1.1、bpf内核框架 2、用户态(前端)解析: 2.1、bcc 3、参考资料: 3.1、Berkeley Packet Filter (BPF) (Kernel Document) 3.2、BPF and XDP Reference Guide 3.3、DTrace for Linux 2016 3.4、bcc/BPF Tool End-User Tutorial 3.5、b...
Linux: kernel: eBPF & BCC & bpftrace & socket filter
mzhan017的博客
04-22 926
reference http://www.brendangregg.com/ kernel cmdline 设置 /kernel/bpf/syscall.c /* RHEL-only: default to 1 */ int sysctl_unprivileged_bpf_disabled __read_mostly = 1; static int __init unprivileged_bpf_setup(char *str) { unsigned long disabled; if (!kstrt
ubuntu24使用bcc性能分析
最新发布
11-12
在Ubuntu 24系统中使用bcc进行性能分析,可按以下步骤操作: ### 系统要求 Ubuntu 24.04 LTS (Noble Numbat),内核版本建议5.15或更高,Ubuntu 24.04默认内核通常满足要求[^1]。 ### 安装必要工具和依赖 首先更新系统,然后安装基础开发工具和BPF工具链: ```bash sudo apt update && sudo apt upgrade -y sudo apt install -y build-essential git make cmake llvm clang libelf-dev libbpf-dev bpfcc-tools \ libcap-dev binutils-dev pkg-config libmnl-dev libnl-3-dev libnl-route-3-dev sudo apt install -y bpftool linux-tools-common linux-tools-generic ``` 同时安装bcc相关依赖: ```bash sudo apt-get install bpfcc-tools linux-headers-$(uname -r) sudo apt-get install bcc-tools libbcc-examples linux-headers-$(uname -r) sudo apt-get install clang-10 libclang-dev arping netperf iperf ``` 若使用较新版本的bcc(目前v0.31.0),建议开启三个选项`LLVM_BUILD_LLVM_DYLIB`、`CLANG_LINK_CLANG_DYLIB`、`LLVM_LINK_LLVM_DYLIB`,否则使用bcc或bpftrace时可能报错 [^2][^3]。 ### 验证内核配置 检查内核BPF支持和XDP支持: ```bash grep -E "CONFIG_BPF=|CONFIG_BPF_SYSCALL=|CONFIG_BPF_JIT=|CONFIG_HAVE_EBPF_JIT=" /boot/config-$(uname -r) grep -E "CONFIG_XDP_SOCKETS=|CONFIG_XDP_SOCKETS=y" /boot/config-$(uname -r) ``` 确保输出结果符合预期,以保证内核支持bcc所需的功能 [^1]。 ### 使用bcc进行性能分析 安装完成后,就可以使用bcc提供的工具进行性能分析。例如,使用`execsnoop`工具来跟踪新进程的执行: ```bash sudo bcc-tool execsnoop ``` 该命令会实时显示新进程的执行信息,包括进程ID、父进程ID、命令行参数等。 此外,还可以使用其他bcc工具,如`biolatency`用于分析块设备I/O延迟、`cachestat`用于监控Linux页面缓存的读写命中情况等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值